基于模式选择的移动边缘安全服务方法及系统转让专利
申请号 : CN202010419782.8
文献号 : CN111614657B
文献日 : 2021-06-04
发明人 : 崔琪楣 , 黄昌正 , 陶小峰 , 张平
申请人 : 北京邮电大学
摘要 :
本申请实施例提供的基于模式选择的移动边缘安全服务方法及系统,通过操作支持平台获取移动边缘用户端的应用接入请求,对应用接入请求进行安全检测,移动边缘编排器待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源,确定处理待计算任务的目标移动边缘应用,当应用接入请求通过安全检测时,移动边缘编排器根据待计算任务信息和目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,来调度目标移动边缘应用来处理各子任务,以使各移动边缘主机处理的计算任务均衡,通过综合考虑移动边缘应用的安全等级以及各个移动边缘主机间的负载均衡,在提高移动边缘系统整体安全性的同时,可以满足用户差异化的服务需求。
权利要求 :
1.一种基于模式选择的移动边缘安全服务系统,其特征在于,所述系统包括:操作支持平台,移动边缘编排器,移动边缘主机,所述移动边缘主机包括多个移动边缘应用;
所述操作支持平台,用于获取移动边缘用户端的应用接入请求,所述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至所述移动边缘编排器;
所述移动边缘编排器,用于接收所述操作支持平台转发的所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,根据所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
所述操作支持平台,还用于当所述应用接入请求通过安全检测时,获取所述移动边缘用户端发送的待计算任务信息,所述待计算任务信息包括多个子任务;并将所述待计算任务信息转发至所述移动边缘编排器;
所述移动边缘编排器,还用于根据所述待计算任务信息和所述目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,调度目标移动边缘应用来处理各所述子任务,以使各所述移动边缘主机处理的计算任务均衡;
所述移动边缘应用,用于响应于所述移动边缘编排器的调度,处理接收到的子任务;
当所述待计算任务的服务模式为性能优先模式时,所述移动边缘编排器具体用于:根据所述待计算任务所需的计算资源和各所述移动边缘主机的剩余计算资源,根据各所述移动边缘主机与所述移动边缘用户端的距离,按照各所述距离从近到远的顺序,依次从各所述移动边缘主机中选择目标移动边缘主机,其中,各个所述目标移动边缘主机的剩余计算资源的总和不小于所述待计算任务所需的计算资源的(1+β)倍,其中β为预设值;
从所述目标移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
按照安全等级从高到低的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用;
当所述待计算任务的服务模式为安全优先模式时,所述移动边缘编排器具体用于:从各所述移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
按照安全等级从高到低的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用。
2.根据权利要求1所述的系统,其特征在于,所述应用接入请求包括用户标识,所述操作支持平台具体用于:
根据所述用户标识,判断用户是否在预设黑产用户数据库中;
当所述用户在预设黑产用户数据库中时,判定所述应用接入请求不通过安全检测;
当所述用户不在预设黑产用户数据库中时,判定所述应用接入请求通过安全检测。
3.根据权利要求2所述的系统,其特征在于,所述操作支持平台还用于:根据预设第一时间周期,从所述移动边缘用户端获取各用户的计算任务信息;
对所述计算任务信息进行特征提取,得到计算任务特征;
将所述计算任务特征与预设第一行为特征进行匹配,识别出可疑计算任务,将可疑计算任务的所属的用户标记为可疑用户;
对所述可疑用户的计算任务进行监测,在预设第二时间周期内,若所述可疑用户的计算任务包括预设攻击任务,将所述可疑用户确定为黑产用户;
将所述黑产用户的用户标识存储在所述预设黑产用户数据库中。
4.根据权利要求3所述的系统,其特征在于,所述操作支持平台还用于:将所述黑产用户的用户标识发送至所述移动边缘编排器,以使所述移动边缘编排器根据所述黑产用户的用户标识,停止调度处理目标移动边缘应用以处理所述黑产用户的待计算任务。
5.根据权利要求3所述的系统,其特征在于,所述操作支持平台还用于:在所述预设第二时间周期内,若所述可疑用户的待计算任务不包括攻击任务时,将所述可疑用户标记为正常用户。
6.根据权利要求1所述的系统,其特征在于,所述移动边缘编排器还用于:在预设第三时间周期内,从所述操作支持平台获取待计算任务信息;在各所述待计算任务信息的数据段中填充指定数量的校验数据,得到目标数据;将目标数据分配至各所述移动边缘主机的各个移动边缘应用,以使各移动边缘应用对所述目标数据进行处理,得到处理后的数据;
所述系统还包括:移动边缘管理器;
所述移动边缘管理器,用于获取各个移动边缘应用返回的处理后的数据,并提取所述处理后的数据中的校验数据;判断各个所述处理后的数据中的校验数据是否相同,若超过半数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的校验数据为真实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实数据对应的移动边缘应用的信息发送至所述移动边缘编排器,其中,若所述处理后的数据中的校验数据之间数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据相同;
所述移动边缘编排器,还用于接收到所述移动边缘管理器发送的不真实数据对应的移动边缘应用的信息,并将不真实数据对应的移动边缘应用的信任值降低预设信任值;
其中,所述移动边缘应用的安全等级是预设更新周期范围内,根据所述移动边缘应用成功服务次数,所述移动边缘应用接收的服务请求总次数,所述边缘应用的信任值计算得到的;
所述安全等级表示为:
其中,SL(tl,sr)表示移动边缘应用的安全等级,tl表示记录所述移动边缘应用信任值的信任列表,sr表示所述移动边缘应用的服务记录,a表示所述移动边缘应用的信任值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内所述移动边缘应用的成功服务次数,TotalQuestNum表示Tupdate内移动边缘应用接收的服务请求次数;
所述信任列表和所述服务记录存储在所述移动边缘编排器中。
7.根据权利要求6所述的系统,其特征在于,所述移动边缘编排器存储有各移动边缘应用的计算任务次数,所述移动边缘管理器还用于:每隔预设第四时间周期,从所述移动边缘编排器获取各移动边缘应用的调度信息;
将安全等级低于预设安全等级阈值的移动边缘应用删除。
8.一种基于模式选择的移动边缘安全服务方法,其特征在于,应用于基于模式选择的移动边缘安全服务系统,所述基于模式选择的移动边缘安全服务系统包括:操作支持平台,移动边缘编排器,移动边缘主机,所述移动边缘主机包括多个移动边缘应用,所述方法包括:
所述操作支持平台获取移动边缘用户端的应用接入请求,所述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至所述移动边缘编排器;
所述移动边缘编排器接收所述操作支持平台转发的所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,根据所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
当所述应用接入请求通过安全检测时,所述操作支持平台获取所述移动边缘用户端发送的待计算任务信息,所述待计算任务信息包括多个子任务;并将所述待计算任务信息转发至所述移动边缘编排器;
所述移动边缘编排器根据所述待计算任务信息和所述目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,调度目标移动边缘应用来处理各所述子任务,以使各所述移动边缘主机处理的计算任务均衡;
所述移动边缘应用响应于所述移动边缘编排器的调度,处理接收到的子任务;
所述根据所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用,包括:
当所述待计算任务的服务模式为性能优先模式时,根据所述待计算任务所需的计算资源和各所述移动边缘主机的剩余计算资源,根据各所述移动边缘主机与所述移动边缘用户端的距离,按照各所述距离从近到远的顺序,依次从各所述移动边缘主机中选择目标移动边缘主机,其中,各个所述目标移动边缘主机的剩余计算资源的总和不小于所述待计算任务所需的计算资源的(1+β)倍,其中β为预设值;
从所述目标移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
按照安全等级从高到低的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用;
当所述待计算任务的服务模式为安全优先模式时,从各所述移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
按照安全等级从高到低的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资源,将选取的各移动边缘应用作为目标移动边缘应用。
说明书 :
基于模式选择的移动边缘安全服务方法及系统
技术领域
[0001] 本申请涉及数据处理技术领域,特别是涉及基于模式选择的移动边缘安全服务方法及系统。
背景技术
[0002] 针对传统移动云计算在时延、抖动、拥塞等方面存在的不足,可以将计算、存储资源迁移到离用户最近的移动网络边缘,ETSI(European Telecommunications Standards
Institute,欧洲标准化组织)称之为MEC(Mobile Edge Computing,移动边缘计算)服务。随
着5G(5th generation mobile networks,第五代移动通信网络)的加速推进,MEC服务将逐
渐得到普及并大量存在于5G网络边缘。但是,由于移动边缘系统的防御硬件资源有限,来自
5G大规模移动设备的DDoS(Distribution Denial of service,分布式拒绝服务)攻击,对
于MEC服务而言是不可避免的威胁。
Institute,欧洲标准化组织)称之为MEC(Mobile Edge Computing,移动边缘计算)服务。随
着5G(5th generation mobile networks,第五代移动通信网络)的加速推进,MEC服务将逐
渐得到普及并大量存在于5G网络边缘。但是,由于移动边缘系统的防御硬件资源有限,来自
5G大规模移动设备的DDoS(Distribution Denial of service,分布式拒绝服务)攻击,对
于MEC服务而言是不可避免的威胁。
[0003] 每个MEC节点的边缘数据中心靠近用户侧,与终端关系紧密,相比于核心网有更高隐私保护需求,且MEC节点在DDoS攻击后都难以维护服务可用性,因此需要应对各类MEC应
用带来的数据篡改、隐私泄露、DDoS攻击、边缘数据中心控制劫持等攻击以及其他未知的安
全威胁,并保证各类移动边缘应用的负载均衡。
用带来的数据篡改、隐私泄露、DDoS攻击、边缘数据中心控制劫持等攻击以及其他未知的安
全威胁,并保证各类移动边缘应用的负载均衡。
[0004] 因此,针对提高移动边缘服务的安全性的同时,满足用户差异化的服务需求是目前亟需解决的安全问题。
发明内容
[0005] 本申请实施例的目的在于提供基于模式选择的移动边缘安全服务方法及系统,以实现提高移动边缘服务的安全性的同时,满足用户差异化的服务需求。
[0006] 具体技术方案如下:
[0007] 第一方面,本申请实施例提供了一种基于模式选择的移动边缘安全服务系统,所述系统包括:
[0008] 操作支持平台,移动边缘编排器,移动边缘主机,所述移动边缘主机包括多个移动边缘应用:
[0009] 所述操作支持平台,用于获取移动边缘用户端的应用接入请求,所述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务
所需的计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所
述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至
所述移动边缘编排器;
所需的计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所
述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至
所述移动边缘编排器;
[0010] 所述移动边缘编排器,用于接收所述操作支持平台转发的所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资
源,根据所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及
所述待计算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
源,根据所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及
所述待计算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
[0011] 所述操作支持平台,还用于当所述应用接入请求通过安全检测时,获取所述移动边缘用户端发送的待计算任务信息,所述待计算任务信息包括多个子任务;并将所述待计
算任务信息转发至所述移动边缘编排器;
算任务信息转发至所述移动边缘编排器;
[0012] 所述移动边缘编排器,还用于根据所述待计算任务信息和所述目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,调度目标移动边缘应用来处理各所述子
任务,以使各所述移动边缘主机处理的计算任务均衡;
任务,以使各所述移动边缘主机处理的计算任务均衡;
[0013] 所述移动边缘应用,用于响应于所述移动边缘编排器的调度,处理接收到的子任务。
[0014] 可选的,当所述待计算任务的服务模式为性能优先模式时,所述移动边缘编排器具体用于:
[0015] 根据所述待计算任务所需的计算资源和各所述移动边缘主机的剩余计算资源,根据各所述移动边缘主机与所述移动边缘用户端的距离,按照各所述距离从近到远的顺序,
依次从各所述移动边缘主机中选择目标移动边缘主机,其中,各个所述目标移动边缘主机
的剩余计算资源的总和不小于所述待计算任务所需的计算资源的(1+β)倍,其中β为预设
值;
依次从各所述移动边缘主机中选择目标移动边缘主机,其中,各个所述目标移动边缘主机
的剩余计算资源的总和不小于所述待计算任务所需的计算资源的(1+β)倍,其中β为预设
值;
[0016] 从所述目标移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
[0017] 按照安全等级从高到低的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资
源,将选取的各移动边缘应用作为目标移动边缘应用。
源,将选取的各移动边缘应用作为目标移动边缘应用。
[0018] 可选的,当所述待计算任务的服务模式为安全优先模式时,所述移动边缘编排器具体用于:
[0019] 从各所述移动边缘主机中选出安全等级不小于所述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
[0020] 按照安全等级从高到低的顺序,从所述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于所述待计算任务所需的计算资
源,将选取的各移动边缘应用作为目标移动边缘应用。
源,将选取的各移动边缘应用作为目标移动边缘应用。
[0021] 可选的,所述应用接入请求包括用户标识,所述操作支持平台具体用于:
[0022] 根据所述用户标识,判断用户是否在预设黑产用户数据库中;
[0023] 当所述用户在预设黑产用户数据库中时,判定所述应用接入请求不通过安全检测;
[0024] 当所述用户不在预设黑产用户数据库中时,判定所述应用接入请求通过安全检测。
[0025] 可选的,所述操作支持平台还用于:
[0026] 根据预设第一时间周期,从所述移动边缘用户端获取各用户的计算任务信息;
[0027] 对所述计算任务信息进行特征提取,得到计算任务特征;
[0028] 将所述计算任务特征与预设第一行为特征进行匹配,识别出可疑计算任务,将可疑计算任务的所属的用户标记为可疑用户;
[0029] 对所述可疑用户的计算任务进行监测,在预设第二时间周期内,若所述可疑用户的计算任务包括预设攻击任务,将所述可疑用户确定为黑产用户;
[0030] 将所述黑产用户的用户标识存储在所述预设黑产用户数据库中。
[0031] 可选的,所述操作支持平台还用于:
[0032] 将所述黑产用户的用户标识发送至所述移动边缘编排器,以使所述移动边缘编排器根据所述黑产用户的用户标识,停止调度处理目标移动边缘应用以处理所述黑产用户的
待计算任务。
待计算任务。
[0033] 可选的,所述操作支持平台还用于:
[0034] 在所述预设第二时间周期内,若所述可疑用户的待计算任务不包括攻击任务时,将所述可疑用户标记为正常用户。
[0035] 可选的,所述移动边缘编排器还用于:在预设第三时间周期内,从所述操作支持平台获取待计算任务信息;在各所述待计算任务信息的数据段中填充指定数量的校验数据,
得到目标数据;将目标数据分配至各所述移动边缘主机的各个移动边缘应用,以使各移动
边缘应用对所述目标数据进行处理,得到处理后的数据;
得到目标数据;将目标数据分配至各所述移动边缘主机的各个移动边缘应用,以使各移动
边缘应用对所述目标数据进行处理,得到处理后的数据;
[0036] 所述系统还包括:移动边缘管理器;
[0037] 所述移动边缘管理器,用于获取各个移动边缘应用返回的处理后的数据,并提取所述处理后的数据中的校验数据;判断各个所述处理后的数据中的校验数据是否相同,若
超过半数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的校验数
据为真实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实数据对
应的移动边缘应用的信息发送至所述移动边缘编排器,其中,若所述处理后的数据中的校
验数据之间数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据相同;
超过半数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的校验数
据为真实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实数据对
应的移动边缘应用的信息发送至所述移动边缘编排器,其中,若所述处理后的数据中的校
验数据之间数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据相同;
[0038] 所述移动边缘编排器,还用于接收到所述移动边缘管理器发送的不真实数据对应的移动边缘应用的信息,并将不真实数据对应的移动边缘应用的信任值降低预设信任值;
[0039] 其中,所述移动边缘应用的安全等级是预设更新周期范围内,根据所述移动边缘应用成功服务次数,所述移动边缘应用接收的服务请求总次数,所述边缘应用的信任值计
算得到的;
算得到的;
[0040] 所述安全等级表示为:
[0041]
[0042] 其中,SL(tl,sr)表示移动边缘应用的安全等级,tl表示记录所述移动边缘应用信任值的信任列表,sr表示所述移动边缘应用的服务记录,α表示所述移动边缘应用的信任
值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内所述移动边缘应用的成功服务次
数,TotalQuestNum表示Tupdate内移动边缘应用接收的服务请求次数;
值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内所述移动边缘应用的成功服务次
数,TotalQuestNum表示Tupdate内移动边缘应用接收的服务请求次数;
[0043] 所述信任列表和所述服务记录存储在所述移动边缘编排器中。
[0044] 可选的,所述移动边缘编排器存储有各移动边缘应用的计算任务次数,所述移动边缘管理器还用于
[0045] 每隔预设第四时间周期,从所述移动边缘编排器获取各移动边缘应用的调度信息;
[0046] 将安全等级低于预设安全等级阈值的移动边缘应用删除。
[0047] 第二方面,本申请实施例提供了一种基于模式选择的移动边缘安全服务方法,应用于基于模式选择的移动边缘安全服务系统,所述基于模式选择的移动边缘安全服务系统
包括:操作支持平台,移动边缘编排器,移动边缘主机,所述移动边缘主机包括多个移动边
缘应用,所述方法包括:
包括:操作支持平台,移动边缘编排器,移动边缘主机,所述移动边缘主机包括多个移动边
缘应用,所述方法包括:
[0048] 所述操作支持平台获取移动边缘用户端的应用接入请求,所述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的
计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所述待计
算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至所述移
动边缘编排器;
计算资源;对所述应用接入请求进行安全检测,并将所述待计算任务的服务模式、所述待计
算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源转发至所述移
动边缘编排器;
[0049] 所述移动边缘编排器接收所述操作支持平台转发的所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计算任务所需的计算资源,根据
所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计
算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
所述待计算任务的服务模式、所述待计算任务所需移动边缘应用的安全等级以及所述待计
算任务所需的计算资源,确定处理所述待计算任务的目标移动边缘应用;
[0050] 当所述应用接入请求通过安全检测时,所述操作支持平台获取所述移动边缘用户端发送的待计算任务信息,所述待计算任务信息包括多个子任务;并将所述待计算任务信
息转发至所述移动边缘编排器;
息转发至所述移动边缘编排器;
[0051] 所述移动边缘编排器根据所述待计算任务信息和所述目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,调度目标移动边缘应用来处理各所述子任务,
以使各所述移动边缘主机处理的计算任务均衡;
以使各所述移动边缘主机处理的计算任务均衡;
[0052] 所述移动边缘应用响应于所述移动边缘编排器的调度,处理接收到的子任务。
[0053] 本申请实施例提供的移动边缘系统,移动边缘数据处理方法,通过操作支持平台获取移动边缘用户端的应用接入请求,对应用接入请求进行安全检测,并将待计算任务的
服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源转发
至移动边缘编排器;移动边缘编排器接收操作支持平台转发的待计算任务的服务模式、待
计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源后,根据待计算任
务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资
源,确定处理待计算任务的目标移动边缘应用,当应用接入请求通过安全检测时,操作支持
平台获取移动边缘用户端发送的待计算任务信息,并将待计算任务信息转发至移动边缘编
排器;移动边缘编排器用于根据待计算任务信息和目标移动边缘应用对应的移动边缘主机
正在处理的计算任务的数量,来调度目标移动边缘应用来处理各子任务,以使各移动边缘
主机处理的计算任务均衡,通过综合考虑移动边缘应用的安全等级以及各个移动边缘主机
间的负载均衡,在提高移动边缘系统整体安全性的同时,可以满足用户差异化的服务需求。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源转发
至移动边缘编排器;移动边缘编排器接收操作支持平台转发的待计算任务的服务模式、待
计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源后,根据待计算任
务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资
源,确定处理待计算任务的目标移动边缘应用,当应用接入请求通过安全检测时,操作支持
平台获取移动边缘用户端发送的待计算任务信息,并将待计算任务信息转发至移动边缘编
排器;移动边缘编排器用于根据待计算任务信息和目标移动边缘应用对应的移动边缘主机
正在处理的计算任务的数量,来调度目标移动边缘应用来处理各子任务,以使各移动边缘
主机处理的计算任务均衡,通过综合考虑移动边缘应用的安全等级以及各个移动边缘主机
间的负载均衡,在提高移动边缘系统整体安全性的同时,可以满足用户差异化的服务需求。
当然,实施本申请的任一产品或方法并不一定需要同时达到以上所述的所有优点。
附图说明
[0054] 为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本
申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以
根据这些附图获得其他的附图。
[0055] 图1为本申请实施例的基于模式选择的移动边缘安全服务系统的第一种示意图;
[0056] 图2为本申请实施例的基于模式选择的移动边缘安全服务系统的第二种示意图;
[0057] 图3为本申请实施例的基于模式选择的移动边缘安全服务系统的一种流程示意图;
[0058] 图4a为本申请实施例的基于模式选择的移动边缘安全服务系统的一种网络侧部署示意图;
[0059] 图4b为本申请实施例的基于模式选择的移动边缘安全服务系统的一种现场级部署示意图;
[0060] 图5为本申请实施例的基于模式选择的移动边缘安全服务方法的一种示意图。
具体实施方式
[0061] 下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于
本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本申请保护的范围。
本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他
实施例,都属于本申请保护的范围。
[0062] 本申请实施例公开了一种基于模式选择的移动边缘安全服务方法及系统,以下分别进行说明。
[0063] 本申请实施例提供了基于模式选择的移动边缘安全服务系统,参见图1,图1为本申请实施例的基于模式选择的移动边缘安全服务系统的第一种示意图,包括:
[0064] 操作支持平台110,移动边缘编排器120,移动边缘主机130,上述移动边缘主机130包括多个移动边缘应用1301;
[0065] 上述操作支持平台110,用于获取移动边缘用户端的应用接入请求,上述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计
算任务所需的计算资源;对上述应用接入请求进行安全检测,并将上述待计算任务的服务
模式、上述待计算任务所需移动边缘应用1301的安全等级以及上述待计算任务所需的计算
资源转发至上述移动边缘编排器120;
算任务所需的计算资源;对上述应用接入请求进行安全检测,并将上述待计算任务的服务
模式、上述待计算任务所需移动边缘应用1301的安全等级以及上述待计算任务所需的计算
资源转发至上述移动边缘编排器120;
[0066] 上述移动边缘编排器120,用于接收上述操作支持平台110转发的上述待计算任务的服务模式、上述待计算任务所需移动边缘应用1301的安全等级以及上述待计算任务所需
的计算资源,根据上述待计算任务的服务模式、上述待计算任务所需移动边缘应用1301的
安全等级以及上述待计算任务所需的计算资源,确定处理上述待计算任务的目标移动边缘
应用;
的计算资源,根据上述待计算任务的服务模式、上述待计算任务所需移动边缘应用1301的
安全等级以及上述待计算任务所需的计算资源,确定处理上述待计算任务的目标移动边缘
应用;
[0067] 上述操作支持平台110,还用于当上述应用接入请求通过安全检测时,获取上述移动边缘用户端发送的待计算任务信息,上述待计算任务信息包括多个子任务;并将上述待
计算任务信息转发至上述移动边缘编排器120;
计算任务信息转发至上述移动边缘编排器120;
[0068] 上述移动边缘编排器120,还用于根据上述待计算任务信息和上述目标移动边缘应用对应的移动边缘主机130正在处理的计算任务的数量,调度目标移动边缘应用来处理
各上述子任务,以使各上述移动边缘主机130处理的计算任务均衡;
各上述子任务,以使各上述移动边缘主机130处理的计算任务均衡;
[0069] 上述移动边缘应用1301,用于响应于上述移动边缘编排器120的调度,处理接收到的子任务。
[0070] 本申请实施例提供了基于模式选择的移动边缘安全服务系统应用于ETSI建议的MEC架构,也可以应用于LTE(Long Term Evolution,长期演进)、5G网络系统,也适用于支持
管理、编排VNF(Virtualized Network Function,虚拟化网络功能)的开源平台,包括
OpenSDNCore、HP OpenNFV、Open Baton NFVO、Taker。
管理、编排VNF(Virtualized Network Function,虚拟化网络功能)的开源平台,包括
OpenSDNCore、HP OpenNFV、Open Baton NFVO、Taker。
[0071] 操作支持平台110是直接面向移动边缘用户端的应用接入请求的设备,从而根据移动边缘用户端的应用接入请求完成相应的移动边缘服务调度,移动边缘用户终端包含一
切使用移动边缘服务的终端设备,可用于智慧城市、户外直播、车联网等服务。根据实际需
要,基于模式选择的移动边缘安全服务系统可以包括区域子系统,其中每个区域子系统均
包括移动边缘编排器120,移动边缘主机130,移动边缘编排器120可以维护和管理一个区域
子系统内的移动边缘主机130。移动边缘主机130是指用于提供计算存储能力的设备。移动
边缘应用1301部署在移动边缘主机130中,用于提供移动边缘服务。
切使用移动边缘服务的终端设备,可用于智慧城市、户外直播、车联网等服务。根据实际需
要,基于模式选择的移动边缘安全服务系统可以包括区域子系统,其中每个区域子系统均
包括移动边缘编排器120,移动边缘主机130,移动边缘编排器120可以维护和管理一个区域
子系统内的移动边缘主机130。移动边缘主机130是指用于提供计算存储能力的设备。移动
边缘应用1301部署在移动边缘主机130中,用于提供移动边缘服务。
[0072] 当移动边缘用户端获取用户的移动边缘服务请求指令时,移动边缘用户端给操作支持平台110发送应用接入请求,操作支持平台110获取移动边缘用户端的应用接入请求,
其中,应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用1301的安
全等级以及待计算任务所需的计算资源;操作支持平台110对应用接入请求进行安全检测,
并将待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任
务所需的计算资源转发至移动边缘编排器120。
其中,应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用1301的安
全等级以及待计算任务所需的计算资源;操作支持平台110对应用接入请求进行安全检测,
并将待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任
务所需的计算资源转发至移动边缘编排器120。
[0073] 在一种可能的实施方式中,上述应用接入请求包括用户标识,上述操作支持平台110具体用于:
[0074] 根据上述用户标识,判断用户是否在预设黑产用户数据库中;
[0075] 当上述用户在预设黑产用户数据库中时,判定上述应用接入请求不通过安全检测;
[0076] 当上述用户不在预设黑产用户数据库中时,判定上述应用接入请求通过安全检测。
[0077] 移动边缘用户端的应用接入请求具体可包括用户标识,其中,操作支持平台110对应用接入请求进行安全检测,具体包括:操作支持平台110根据用户标识,判断用户是否在
预设黑产用户数据库中;当用户在预设黑产用户数据库中时,则说明用户为黑产用户,即判
定应用接入请求不通过安全检测;当用户不在预设黑产用户数据库中时,可判定应用接入
请求通过安全检测。
预设黑产用户数据库中;当用户在预设黑产用户数据库中时,则说明用户为黑产用户,即判
定应用接入请求不通过安全检测;当用户不在预设黑产用户数据库中时,可判定应用接入
请求通过安全检测。
[0078] 在一种可能的实施方式中,上述操作支持平台110具体用于:
[0079] 在根据上述用户标识,判断用户是否在预设黑产用户数据库中之前,判断移动边缘用户端的应用接入请求数据段的是否完整。
[0080] 应用接入请求应包括待计算任务的服务模式、用户标识、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的计算资源,当应用接入请求中缺少了上述信息,
则判定应用接入请求不完整,操作支持平台110拒绝移动边缘用户端的应用接入请求。更进
一步的,操作支持平台110向移动边缘用户端返回错误信息,其中,错误信息中具体可以包
括应用接入请求缺失的信息。当判断移动边缘用户端的应用接入请求数据段的完整时,根
据上述用户标识,判断用户是否在预设黑产用户数据库中,当上述用户不在预设黑产用户
数据库中时,判定上述应用接入请求通过安全检测,同意上述移动边缘用户端的应用接入
请求。
则判定应用接入请求不完整,操作支持平台110拒绝移动边缘用户端的应用接入请求。更进
一步的,操作支持平台110向移动边缘用户端返回错误信息,其中,错误信息中具体可以包
括应用接入请求缺失的信息。当判断移动边缘用户端的应用接入请求数据段的完整时,根
据上述用户标识,判断用户是否在预设黑产用户数据库中,当上述用户不在预设黑产用户
数据库中时,判定上述应用接入请求通过安全检测,同意上述移动边缘用户端的应用接入
请求。
[0081] 更进一步的,在预设标识数据库中保存有向操作支持平台110发送应用接入请求的用户的用户标识,操作支持平台110获取移动边缘用户端的应用接入请求后,根据用户,
判断用户标识是否在上述预设标识数据库中,若在,则说明用户不是首次向操作支持平台
110发送应用接入请求,如果不在,则判断用户首次向操作支持平台110发送应用接入请求,
当用户首次向操作支持平台110发送应用接入请求时,操作支持平台110可对用户进行认
证,其中认证方法可以参看现有/相关方案中认证方法,当认证成功后,将用户的用户标识
保存至上述预设标识数据库中。
判断用户标识是否在上述预设标识数据库中,若在,则说明用户不是首次向操作支持平台
110发送应用接入请求,如果不在,则判断用户首次向操作支持平台110发送应用接入请求,
当用户首次向操作支持平台110发送应用接入请求时,操作支持平台110可对用户进行认
证,其中认证方法可以参看现有/相关方案中认证方法,当认证成功后,将用户的用户标识
保存至上述预设标识数据库中。
[0082] 在一种可能的实施方式中,应用接入请求包括待计算任务的任务类型,移动边缘编排器存储有各移动边缘应用的服务记录,其中,服务记录包括计算任务对应的用户标识,
以及完成计算任务的实际计算资源,操作支持平台110对上述应用接入请求进行安全检测,
包括:
以及完成计算任务的实际计算资源,操作支持平台110对上述应用接入请求进行安全检测,
包括:
[0083] 操作支持平台110根据用户的用户标识,从移动边缘编排器获取用户标识对应的服务记录,根据任务类型和服务记录判断所需的计算资源是否合理,当合理时,判定上述应
用接入请求通过安全检测;当不合理时,判定上述应用接入请求不通过安全检测。
用接入请求通过安全检测;当不合理时,判定上述应用接入请求不通过安全检测。
[0084] 其中,根据任务类型和服务记录判断所需的计算资源是否合理,包括:根据服务记录中的计算任务的实际计算资源,判断待计算任务所需的计算资源是否超过预设第一资源
阈值,当超过预设第一资源阈值时,判定所需的计算资源不合理,当未超过预设第一资源阈
值时,判定所需的计算资源合理。
阈值,当超过预设第一资源阈值时,判定所需的计算资源不合理,当未超过预设第一资源阈
值时,判定所需的计算资源合理。
[0085] 更进一步的,将超过预设资源阈值的用户的用户标识确定为黑产用户;并将上述黑产用户的用户标识存储在上述预设黑产用户数据库中;
[0086] 将未超过预设第一资源阈值,超过预设第二资源阈值的用户标记为可疑用户;对上述可疑用户的计算任务进行监测,在预设第二时间周期内,若上述可疑用户的计算任务
包括预设攻击任务,将上述可疑用户确定为黑产用户;将上述黑产用户的用户标识存储在
上述预设黑产用户数据库中。
包括预设攻击任务,将上述可疑用户确定为黑产用户;将上述黑产用户的用户标识存储在
上述预设黑产用户数据库中。
[0087] 将未超过预设第二资源阈值的用户确定为正常用户,确定所需的计算资源合理。
[0088] 所需计算资源数据异常时标记为可疑用户,超出阈值时标记为黑名单。
[0089] 移动边缘编排器中存储有移动边缘主机和移动边缘应用的映射关系,移动边缘编排器120接收操作支持平台110转发的待计算任务的服务模式、待计算任务所需移动边缘应
用1301的安全等级以及待计算任务所需的计算资源,根据待计算任务的服务模式、待计算
任务所需移动边缘应用1301的安全等级以及待计算任务所需的计算资源,确定处理待计算
任务的目标移动边缘应用。无论操作支持平台110对应用接入请求的安全检测结果如何,操
作支持平台110均会将待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全
等级以及待计算任务所需的计算资源转发至移动边缘编排器120,无论操作支持平台110对
应用接入请求的安全检测结果如何,移动边缘编排器120接收操作支持平台110转发的待计
算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任务所需的
计算资源,根据待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以
及待计算任务所需的计算资源,确定处理待计算任务的目标移动边缘应用,如此,在操作支
持平台110对应用接入请求进行安全检测的同时,移动边缘编排器120可确定处理待计算任
务的目标移动边缘应用。以此可节约处理计算任务整体的处理时间,达到时延优化的目的。
用1301的安全等级以及待计算任务所需的计算资源,根据待计算任务的服务模式、待计算
任务所需移动边缘应用1301的安全等级以及待计算任务所需的计算资源,确定处理待计算
任务的目标移动边缘应用。无论操作支持平台110对应用接入请求的安全检测结果如何,操
作支持平台110均会将待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全
等级以及待计算任务所需的计算资源转发至移动边缘编排器120,无论操作支持平台110对
应用接入请求的安全检测结果如何,移动边缘编排器120接收操作支持平台110转发的待计
算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以及待计算任务所需的
计算资源,根据待计算任务的服务模式、待计算任务所需移动边缘应用1301的安全等级以
及待计算任务所需的计算资源,确定处理待计算任务的目标移动边缘应用,如此,在操作支
持平台110对应用接入请求进行安全检测的同时,移动边缘编排器120可确定处理待计算任
务的目标移动边缘应用。以此可节约处理计算任务整体的处理时间,达到时延优化的目的。
[0090] 当应用接入请求通过安全检测时,操作支持平台110获取移动边缘用户端发送的待计算任务信息,将待计算任务信息转发至移动边缘编排器120;因为待计算任务包括多个
子任务,则移动边缘编排器120根据待计算任务信息和目标移动边缘应用对应的移动边缘
主机130正在处理的计算任务的数量,调度目标移动边缘应用来处理各子任务,以使各移动
边缘主机130处理的计算任务均衡,移动边缘应用1301响应于移动边缘编排器120的调度,
进而处理接收到的子任务。通过考虑各个移动边缘主机130处理计算任务的数量,调度目标
移动边缘应用来处理各子任务,以使各移动边缘主机130处理的计算任务均衡。
子任务,则移动边缘编排器120根据待计算任务信息和目标移动边缘应用对应的移动边缘
主机130正在处理的计算任务的数量,调度目标移动边缘应用来处理各子任务,以使各移动
边缘主机130处理的计算任务均衡,移动边缘应用1301响应于移动边缘编排器120的调度,
进而处理接收到的子任务。通过考虑各个移动边缘主机130处理计算任务的数量,调度目标
移动边缘应用来处理各子任务,以使各移动边缘主机130处理的计算任务均衡。
[0091] 通过操作支持平台获取移动边缘用户端的应用接入请求,对应用接入请求进行安全检测,并将待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计
算任务所需的计算资源转发至移动边缘编排器;移动边缘编排器接收操作支持平台转发的
待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的
计算资源后,根据待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及
待计算任务所需的计算资源,确定处理待计算任务的目标移动边缘应用,当应用接入请求
通过安全检测时,操作支持平台获取移动边缘用户端发送的待计算任务信息,并将待计算
任务信息转发至移动边缘编排器;移动边缘编排器用于根据待计算任务信息和目标移动边
缘应用对应的移动边缘主机正在处理的计算任务的数量,来调度目标移动边缘应用来处理
各子任务,以使各移动边缘主机处理的计算任务均衡,通过综合考虑移动边缘应用的安全
等级以及各个移动边缘主机间的负载均衡,在提高移动边缘系统整体安全性的同时,可以
满足用户差异化的服务需求。
算任务所需的计算资源转发至移动边缘编排器;移动边缘编排器接收操作支持平台转发的
待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任务所需的
计算资源后,根据待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及
待计算任务所需的计算资源,确定处理待计算任务的目标移动边缘应用,当应用接入请求
通过安全检测时,操作支持平台获取移动边缘用户端发送的待计算任务信息,并将待计算
任务信息转发至移动边缘编排器;移动边缘编排器用于根据待计算任务信息和目标移动边
缘应用对应的移动边缘主机正在处理的计算任务的数量,来调度目标移动边缘应用来处理
各子任务,以使各移动边缘主机处理的计算任务均衡,通过综合考虑移动边缘应用的安全
等级以及各个移动边缘主机间的负载均衡,在提高移动边缘系统整体安全性的同时,可以
满足用户差异化的服务需求。
[0092] 在一种可能的实施方式中,当上述待计算任务的服务模式为性能优先模式时,上述移动边缘编排器120具体用于:
[0093] 根据上述待计算任务所需的计算资源和各上述移动边缘主机130的剩余计算资源,根据各上述移动边缘主机130与上述移动边缘用户端的距离,按照各上述距离从近到远
的顺序,依次从各上述移动边缘主机130中选择目标移动边缘主机130,其中,各个上述目标
移动边缘主机130的剩余计算资源的总和不小于上述待计算任务所需的计算资源的(1+β)
倍,其中β为预设值;
的顺序,依次从各上述移动边缘主机130中选择目标移动边缘主机130,其中,各个上述目标
移动边缘主机130的剩余计算资源的总和不小于上述待计算任务所需的计算资源的(1+β)
倍,其中β为预设值;
[0094] 从上述目标移动边缘主机130中选出安全等级不小于上述待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;
[0095] 按照安全等级从高到低的顺序,从上述待选择移动边缘应用1301中依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于上述待计算任务
所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
[0096] 当上述待计算任务的服务模式为性能优先模式时,移动边缘编排器120根据上述待计算任务所需的计算资源和各上述移动边缘主机130的剩余计算资源,根据各移动边缘
主机130与移动边缘用户端的距离,按照各距离从近到远的顺序,依次从各移动边缘主机
130中选择目标移动边缘主机130,其中,各个目标移动边缘主机130的剩余计算资源的总和
不小于待计算任务所需的计算资源的(1+β)倍。从目标移动边缘主机130中选出安全等级不
小于待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;按照安全
等级从高到低的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,直至选
取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,将选取的
各移动边缘应用1301作为目标移动边缘应用。
主机130与移动边缘用户端的距离,按照各距离从近到远的顺序,依次从各移动边缘主机
130中选择目标移动边缘主机130,其中,各个目标移动边缘主机130的剩余计算资源的总和
不小于待计算任务所需的计算资源的(1+β)倍。从目标移动边缘主机130中选出安全等级不
小于待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;按照安全
等级从高到低的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,直至选
取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,将选取的
各移动边缘应用1301作为目标移动边缘应用。
[0097] 其中,β是一个预设系数,可以是固定的,例如设定β为0.5,当然,为了使移动边缘编排器120根据待计算任务所需的计算资源更准确的调度出目标移动边缘主机130,从而准
确调度目标移动边缘应用,β也可以是经过动态调整获得的;例如,获取历史记录中待计算
任务所需的计算资源,移动边缘编排器120根据待计算任务所需的计算资源和各移动边缘
主机130的剩余计算资源,根据各移动边缘主机130与移动边缘用户端的距离,按照各距离
从近到远的顺序,依次从各移动边缘主机130中选择目标移动边缘主机130,各个目标移动
边缘主机130的剩余计算资源的总和,以及按照安全等级从高到低的顺序,从待选择移动边
缘应用1301中依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的
总和不小于待计算任务所需的计算资源,根据历史记录中待计算任务所需的计算资源,各
个目标移动边缘主机130的剩余计算资源的总和,最终选取的各移动边缘应用1301的计算
资源的总和,训练得到β。具体训练得到β的算法可以为任意强化学习算法,也可以为信息素
函数,具体的,信息素函数由移动边缘用户端与移动边缘主机130距离和传输带宽构成的蚁
群算法。
确调度目标移动边缘应用,β也可以是经过动态调整获得的;例如,获取历史记录中待计算
任务所需的计算资源,移动边缘编排器120根据待计算任务所需的计算资源和各移动边缘
主机130的剩余计算资源,根据各移动边缘主机130与移动边缘用户端的距离,按照各距离
从近到远的顺序,依次从各移动边缘主机130中选择目标移动边缘主机130,各个目标移动
边缘主机130的剩余计算资源的总和,以及按照安全等级从高到低的顺序,从待选择移动边
缘应用1301中依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的
总和不小于待计算任务所需的计算资源,根据历史记录中待计算任务所需的计算资源,各
个目标移动边缘主机130的剩余计算资源的总和,最终选取的各移动边缘应用1301的计算
资源的总和,训练得到β。具体训练得到β的算法可以为任意强化学习算法,也可以为信息素
函数,具体的,信息素函数由移动边缘用户端与移动边缘主机130距离和传输带宽构成的蚁
群算法。
[0098] 例如,包括5个移动边缘主机130,分别为移动边缘主机1301,移动边缘主机1302,移动边缘主机1303,移动边缘主机1304,移动边缘主机1305,根据各上述移动边缘主机130
与上述移动边缘用户端的距离,按照从近到远的顺序进行排序,分别为,移动边缘主机
1301,移动边缘主机1302,移动边缘主机1303,移动边缘主机1304,移动边缘主机1305,其
中,待计算任务所需的计算资源为Crequired,若移动边缘主机1301的剩余计算资源大于
Crequired的(1+β)倍,则移动边缘主机1301即作为目标移动边缘主机130,若移动边缘主机
1301的剩余计算资源不大于Crequired的(1+β)倍,则选择移动边缘主机1301后,现在移动边缘
主机1302,各个上述目标移动边缘主机130的剩余计算资源的总和不小于上述待计算任务
所需的计算资源的(1+β)倍。
与上述移动边缘用户端的距离,按照从近到远的顺序进行排序,分别为,移动边缘主机
1301,移动边缘主机1302,移动边缘主机1303,移动边缘主机1304,移动边缘主机1305,其
中,待计算任务所需的计算资源为Crequired,若移动边缘主机1301的剩余计算资源大于
Crequired的(1+β)倍,则移动边缘主机1301即作为目标移动边缘主机130,若移动边缘主机
1301的剩余计算资源不大于Crequired的(1+β)倍,则选择移动边缘主机1301后,现在移动边缘
主机1302,各个上述目标移动边缘主机130的剩余计算资源的总和不小于上述待计算任务
所需的计算资源的(1+β)倍。
[0099] 因为移动边缘主机130与移动边缘用户端的距离不同,则处理计算任务时数据传输的时延也不同,通过优先选择距离较近的移动边缘主机130为目标移动边缘主机130,可
以节约整个计算任务的处理时间,从而达到时延优化的目的。
以节约整个计算任务的处理时间,从而达到时延优化的目的。
[0100] 更进一步的,在实际应用中,可根据各移动边缘主机130与移动边缘用户端的距离,按照各距离从近到远的顺序,对各个移动边缘主机进行划分,得到各个移动边缘主机区
域集群。
域集群。
[0101] 在一种可能的实施方式中,当上述待计算任务的服务模式为性能优先模式时,上述移动边缘编排器120具体用于:
[0102] 根据上述待计算任务所需的计算资源和各上述移动边缘主机130的剩余计算资源,根据各上述移动边缘主机区域集群与上述移动边缘用户端的距离,按照各距离从近到
远的顺序,依次从各上述移动边缘主机区域集群中选择目标移动边缘主机。
远的顺序,依次从各上述移动边缘主机区域集群中选择目标移动边缘主机。
[0103] 在一种可能的实施方式中,当上述待计算任务的服务模式为安全优先模式时,上述移动边缘编排器120具体用于:
[0104] 从各上述移动边缘主机130中选出安全等级不小于上述待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;
[0105] 按照安全等级从高到低的顺序,从上述待选择移动边缘应用1301中依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于上述待计算任务
所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
[0106] 当待计算任务的服务模式为安全优先模式时,从各移动边缘主机130中选出安全等级不小于待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;按
照安全等级从高到低的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,
直至选取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,将
选取的各移动边缘应用1301作为目标移动边缘应用。
照安全等级从高到低的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,
直至选取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,将
选取的各移动边缘应用1301作为目标移动边缘应用。
[0107] 例如,待计算任务为任务A,任务A所需移动边缘应用1301的安全等级至少为3级,则表示能处理任务A安全等级为1级,2级,3级,低于3级的移动边缘应用不能处理任务A,移
动边缘编排器120上述待计算任务所需移动边缘应用1301的安全等级以及上述待计算任务
所需的计算资源,按照安全等级从高到低的顺序,从上述待选择移动边缘应用1301中依次
选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于上述待
计算任务所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
动边缘编排器120上述待计算任务所需移动边缘应用1301的安全等级以及上述待计算任务
所需的计算资源,按照安全等级从高到低的顺序,从上述待选择移动边缘应用1301中依次
选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于上述待
计算任务所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。
[0108] 在一种可能的实施方式中,上述操作支持平台110还用于:
[0109] 根据预设第一时间周期,从上述移动边缘用户端获取各用户的计算任务信息;
[0110] 对上述计算任务信息进行特征提取,得到计算任务特征;
[0111] 将上述计算任务特征与预设第一行为特征进行匹配,识别出可疑计算任务,将可疑计算任务的所属的用户标记为可疑用户;
[0112] 对上述可疑用户的计算任务进行监测,在预设第二时间周期内,若上述可疑用户的计算任务包括预设攻击任务,将上述可疑用户确定为黑产用户;
[0113] 将上述黑产用户的用户标识存储在上述预设黑产用户数据库中。
[0114] 操作支持平台110周期性地从移动边缘用户端获取各用户的计算任务信息,例如,操作支持平台110每隔10天从移动边缘用户端获取各用户的计算任务信息,然后对计算任
务信息进行特征提取,得到计算任务特征,将计算任务特征与预设第一行为特征进行匹配,
从而识别出可疑计算任务,将可疑计算任务的所属的用户标记为可疑用户,进而对可疑用
户的计算任务进行监测,在预设第二时间周期内,若可疑用户的计算任务包括预设攻击任
务,将可疑用户确定为黑产用户;将黑产用户的用户标识存储在预设黑产用户数据库中。例
如,将可疑计算任务的所属的用户标记为可疑用户后,若5天内可疑用户的计算任务包括预
设攻击任务,将可疑用户确定为黑产用户。
务信息进行特征提取,得到计算任务特征,将计算任务特征与预设第一行为特征进行匹配,
从而识别出可疑计算任务,将可疑计算任务的所属的用户标记为可疑用户,进而对可疑用
户的计算任务进行监测,在预设第二时间周期内,若可疑用户的计算任务包括预设攻击任
务,将可疑用户确定为黑产用户;将黑产用户的用户标识存储在预设黑产用户数据库中。例
如,将可疑计算任务的所属的用户标记为可疑用户后,若5天内可疑用户的计算任务包括预
设攻击任务,将可疑用户确定为黑产用户。
[0115] 通过周期性的从移动边缘用户端获取各用户的计算任务信息,然后对计算任务信息进行分析,识别出潜在的黑产用户,从而当接收到黑产用户的应用接入请求,可直接拒绝
黑产用户的应用接入请求,从而提高系统的安全性。
黑产用户的应用接入请求,从而提高系统的安全性。
[0116] 在一种可能的实施方式中,上述操作支持平台110还用于:
[0117] 将上述黑产用户的用户标识发送至上述移动边缘编排器120,以使上述移动边缘编排器120根据上述黑产用户的用户标识,停止调度处理目标移动边缘应用以处理上述黑
产用户的待计算任务。
产用户的待计算任务。
[0118] 操作支持平台110识别到黑产用户后,将黑产用户的用户标识发送至移动边缘编排器120,以使移动边缘编排器120根据黑产用户的用户标识,停止调度处理目标移动边缘
应用以处理黑产用户的待计算任务,从而提高系统的安全性。
应用以处理黑产用户的待计算任务,从而提高系统的安全性。
[0119] 在一种可能的实施方式中,上述操作支持平台110还用于:
[0120] 在预设第二时间周期内,若上述可疑用户的待计算任务不包括攻击任务时,将上述可疑用户标记为正常用户。
[0121] 在预设第二时间周期内,若上述可疑用户的待计算任务不包括攻击任务时,将上述可疑用户标记为正常用户,以使得操作支持平台110可有效地对可疑用户的计算任务进
行监测,减少对正常用户的计算任务进行监测,提高工作效率。
行监测,减少对正常用户的计算任务进行监测,提高工作效率。
[0122] 在一种可能的实施方式中,上述移动边缘编排器120还用于:在预设第三时间周期内,从上述操作支持平台110获取待计算任务信息;在各上述待计算任务信息的数据段中填
充指定数量的校验数据,得到目标数据;将目标数据分配至各上述移动边缘主机130的各个
移动边缘应用1301,以使各移动边缘应用1301对上述目标数据进行处理,得到处理后的数
据;
充指定数量的校验数据,得到目标数据;将目标数据分配至各上述移动边缘主机130的各个
移动边缘应用1301,以使各移动边缘应用1301对上述目标数据进行处理,得到处理后的数
据;
[0123] 上述系统还包括:移动边缘管理器;
[0124] 上述移动边缘管理器,用于获取各个移动边缘应用1301返回的处理后的数据,并提取上述处理后的数据中的校验数据;判断各个上述处理后的数据中的校验数据是否相
同,若超过半数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的
校验数据为真实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实
数据对应的移动边缘应用1301的信息发送至上述移动边缘编排器120,其中,若处理后的数
据中的校验数据之间数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据
相同;
同,若超过半数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的
校验数据为真实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实
数据对应的移动边缘应用1301的信息发送至上述移动边缘编排器120,其中,若处理后的数
据中的校验数据之间数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据
相同;
[0125] 上述移动边缘编排器120,还用于接收到上述移动边缘管理器发送的不真实数据对应的移动边缘应用1301的信息,并将不真实数据对应的移动边缘应用1301的信任值降低
预设信任值;
预设信任值;
[0126] 其中,上述移动边缘应用1301的安全等级是预设更新周期范围内,根据上述移动边缘应用1301成功服务次数,上述移动边缘应用1301接收的服务请求总次数,上述边缘应
用的信任值计算得到的;
用的信任值计算得到的;
[0127] 上述安全等级表示为:
[0128]
[0129] 其中,SL(tl,sr)表示移动边缘应用1301的安全等级,tl表示记录上述移动边缘应用1301信任值的信任列表,sr表示上述移动边缘应用1301的服务记录,α表示上述移动边缘
应用1301的信任值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内上述移动边缘应
用1301的成功服务次数,TotalQuestNum表示Tupdate内移动边缘应用1301接收的服务请求次
数;
应用1301的信任值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内上述移动边缘应
用1301的成功服务次数,TotalQuestNum表示Tupdate内移动边缘应用1301接收的服务请求次
数;
[0130] 信任列表和服务记录存储在移动边缘编排器120中。
[0131] 移动边缘应用1301的安全等级是预设更新周期范围内,根据移动边缘应用1301成功服务次数,移动边缘应用1301接收的服务请求总次数,边缘应用的信任值计算得到的,移
动边缘编排器120存储有信任列表和服务记录,其中服务记录中包括,移动边缘应用1301接
收的服务请求次数和移动边缘应用1301的成功服务次数。
动边缘编排器120存储有信任列表和服务记录,其中服务记录中包括,移动边缘应用1301接
收的服务请求次数和移动边缘应用1301的成功服务次数。
[0132] 安全等级表示为:
[0133]
[0134] 其中,SL(tl,sr)表示移动边缘应用1301的安全等级,tl表示记录上述移动边缘应用1301信任值的信任列表,sr表示上述移动边缘应用1301的服务记录,α表示上述移动边缘
应用1301的信任值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内上述移动边缘应
用1301的成功服务次数,TotalQuestNum表示Tupdate内移动边缘应用1301接收的服务请求次
数。
应用1301的信任值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内上述移动边缘应
用1301的成功服务次数,TotalQuestNum表示Tupdate内移动边缘应用1301接收的服务请求次
数。
[0135] 为了验证各移动边缘应用的安全等级,系统还包括移动边缘管理器。移动边缘编排器120每隔预设第三时间周期,从操作支持平台110获取待计算任务信息,在各待计算任
务信息的数据段中填充指定数量的校验数据,得到目标数据,然后将目标数据分配至各移
动边缘主机130的各个移动边缘应用1301,以使各移动边缘应用1301对目标数据进行处理,
得到处理后的数据。移动边缘管理器获取各个移动边缘应用1301返回的处理后的数据,并
提取处理后的数据中的校验数据,对各个处理后的数据中的校验数据进行多模裁决,即,判
断各个处理后的数据中的校验数据是否相同,若超过半数的处理后的数据中的校验数据相
同,则确定超过半数的处理后的数据中的校验数据为真实数据,其他不同的处理后的数据
中的校验数据为不真实数据,并将不真实数据对应的移动边缘应用1301的信息发送至移动
边缘编排器120。其中,若处理后的数据中的校验数据之间数据相异位数在预设位数阈值
内,则确定处理后的数据中的校验数据相同。移动边缘编排器120将不真实数据对应的移动
边缘应用1301的信任值降低预设信任值。以此可以减少安全等级低的移动边缘应用,使黑
产用户需要通过变化输入激励和获取输出响应方式才能分析掌控移动边缘应用的漏洞,使
得移动边缘应用的漏洞变得难以探测,杜绝了数据篡改的可能性,模糊黑产用户进行隐私
窃取的指向性,使得劫持边缘数据中心的难度极大提高,实现移动边缘应用的动态更新,在
提高系统安全性的同时增强了移动边缘应用的动态性。更进一步的,上述移动边缘编排器、
移动边缘管理器、操作支持系统等可以是具体硬件,也可以是采用网络功能虚拟化技术的
VNF。
务信息的数据段中填充指定数量的校验数据,得到目标数据,然后将目标数据分配至各移
动边缘主机130的各个移动边缘应用1301,以使各移动边缘应用1301对目标数据进行处理,
得到处理后的数据。移动边缘管理器获取各个移动边缘应用1301返回的处理后的数据,并
提取处理后的数据中的校验数据,对各个处理后的数据中的校验数据进行多模裁决,即,判
断各个处理后的数据中的校验数据是否相同,若超过半数的处理后的数据中的校验数据相
同,则确定超过半数的处理后的数据中的校验数据为真实数据,其他不同的处理后的数据
中的校验数据为不真实数据,并将不真实数据对应的移动边缘应用1301的信息发送至移动
边缘编排器120。其中,若处理后的数据中的校验数据之间数据相异位数在预设位数阈值
内,则确定处理后的数据中的校验数据相同。移动边缘编排器120将不真实数据对应的移动
边缘应用1301的信任值降低预设信任值。以此可以减少安全等级低的移动边缘应用,使黑
产用户需要通过变化输入激励和获取输出响应方式才能分析掌控移动边缘应用的漏洞,使
得移动边缘应用的漏洞变得难以探测,杜绝了数据篡改的可能性,模糊黑产用户进行隐私
窃取的指向性,使得劫持边缘数据中心的难度极大提高,实现移动边缘应用的动态更新,在
提高系统安全性的同时增强了移动边缘应用的动态性。更进一步的,上述移动边缘编排器、
移动边缘管理器、操作支持系统等可以是具体硬件,也可以是采用网络功能虚拟化技术的
VNF。
[0136] 另外,在5G的应用中,移动边缘管理器、操作支持平台、移动边缘编排器可以严格由网络运营商控制,在系统层面形成移动边缘管理器、移动边缘编排器间的绝对信任,杜绝
伪移动边缘管理器/移动边缘编排器攻击,以此由操作支持平台与移动边缘编排器交互过
程中,带来的安全隐患。
伪移动边缘管理器/移动边缘编排器攻击,以此由操作支持平台与移动边缘编排器交互过
程中,带来的安全隐患。
[0137] 在一种可能的实施方式中,上述移动边缘编排器120存储有各移动边缘应用1301的计算任务次数,上述移动边缘管理器还用于:
[0138] 每隔预设第四时间周期,从上述移动边缘编排器120获取各移动边缘应用1301的调度信息;
[0139] 将安全等级低于预设安全等级阈值的移动边缘应用1301删除。
[0140] 例如,每隔半月,移动边缘管理器从移动边缘编排器120获取各移动边缘应用1301的调度信息,将安全等级低于预设安全等级阈值的移动边缘应用1301删除,以此可以减少
安全等级低的移动边缘应用,使黑产用户需要通过变化输入激励和获取输出响应方式才能
分析掌控移动边缘应用的漏洞,使得移动边缘应用的漏洞变得难以探测,杜绝了数据篡改
的可能性,模糊黑产用户进行隐私窃取的指向性,使得劫持边缘数据中心的难度极大提高,
实现移动边缘应用的动态更新,在提高系统安全性的同时增强了移动边缘应用的动态性。
安全等级低的移动边缘应用,使黑产用户需要通过变化输入激励和获取输出响应方式才能
分析掌控移动边缘应用的漏洞,使得移动边缘应用的漏洞变得难以探测,杜绝了数据篡改
的可能性,模糊黑产用户进行隐私窃取的指向性,使得劫持边缘数据中心的难度极大提高,
实现移动边缘应用的动态更新,在提高系统安全性的同时增强了移动边缘应用的动态性。
[0141] 参见图2,图2为本申请实施例的基于模式选择的移动边缘安全服务系统的第二种示意图,在一种可能的实施方式中,移动边缘编排器120包括移动边缘主机编排模块1201,
网络功能虚拟化编排模块1202;移动边缘主机130还包括移动边缘平台1302、网络功能虚拟
化基础设施1303;移动边缘管理器140包括移动边缘平台管理模块1401、虚拟化基础设施管
理模块1402以及移动边缘生命周期管理模块1403。移动边缘编排器120通过移动边缘管理
器140维护和管理一个区域内的移动边缘主机130。
网络功能虚拟化编排模块1202;移动边缘主机130还包括移动边缘平台1302、网络功能虚拟
化基础设施1303;移动边缘管理器140包括移动边缘平台管理模块1401、虚拟化基础设施管
理模块1402以及移动边缘生命周期管理模块1403。移动边缘编排器120通过移动边缘管理
器140维护和管理一个区域内的移动边缘主机130。
[0142] 具体的,移动边缘应用1301为在移动边缘主机130提供的网络功能虚拟化基础设施1303之上部署的虚拟网络功能运行,可以与移动边缘平台1302进行交互,提供移动边缘
服务。
服务。
[0143] 虚拟化基础设施管理模块1402对移动边缘应用1301进行安全评估;移动边缘平台管理模块1401通过ping侦测的方式,监测移动边缘主机130的网络系统状况,从虚拟化基础
设施管理模块1402接收移动边缘应用的安全评估结果,并将结果上报至移动边缘编排器
120。移动边缘生命周期管理模块1403用于执行移动边缘应用的实例化及删除在预设第四
时间周期内,安全等级低于预设安全等级阈值的移动边缘应用1301。
设施管理模块1402接收移动边缘应用的安全评估结果,并将结果上报至移动边缘编排器
120。移动边缘生命周期管理模块1403用于执行移动边缘应用的实例化及删除在预设第四
时间周期内,安全等级低于预设安全等级阈值的移动边缘应用1301。
[0144] 网络功能虚拟化编排模块1202用于存储移动边缘应用信息,根据移动边缘应用的存储、计算、网络传输能力以及安全等级生成相应的调度策略;移动边缘主机编排模块1201
从全局角度,根据诸如延迟、移动边缘应用安全等级等约束为待计算任务选择适当的移动
边缘主机。
从全局角度,根据诸如延迟、移动边缘应用安全等级等约束为待计算任务选择适当的移动
边缘主机。
[0145] 参见图3,图3为本申请实施例的基于模式选择的移动边缘安全服务系统的一种流程示意图,操作支持平台110获取移动边缘用户端的应用接入请求,操作支持平台110判断
用户是否在预设黑产用户数据库中,当上述用户在预设黑产用户数据库中时,判定上述应
用接入请求不通过安全检测,将所述黑产用户的用户标识存储在所述预设黑产用户数据库
中,并直接结束整个计算任务的流程;当上述用户不在预设黑产用户数据库中时,判定上述
应用接入请求通过安全检测。
用户是否在预设黑产用户数据库中,当上述用户在预设黑产用户数据库中时,判定上述应
用接入请求不通过安全检测,将所述黑产用户的用户标识存储在所述预设黑产用户数据库
中,并直接结束整个计算任务的流程;当上述用户不在预设黑产用户数据库中时,判定上述
应用接入请求通过安全检测。
[0146] 操作支持平台110识别服务模式是否为安全优先模式,当待计算任务的服务模式为安全优先模式时,网络功能虚拟化编排模块1202从各移动边缘主机130中选出安全等级
不小于待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;按照安
全等级从高到低的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,直至
选取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,将选取
的各移动边缘应用1301作为目标移动边缘应用。
不小于待计算任务所需移动边缘应用1301的安全等级的待选择移动边缘应用1301;按照安
全等级从高到低的顺序,从待选择移动边缘应用1301中依次选择移动边缘应用1301,直至
选取的各移动边缘应用1301的计算资源的总和不小于待计算任务所需的计算资源,将选取
的各移动边缘应用1301作为目标移动边缘应用。
[0147] 当上述待计算任务的服务模式为性能优先模式时,移动边缘主机编排模块1201根据上述待计算任务所需的计算资源和各上述移动边缘主机130的剩余计算资源,根据各移
动边缘主机130与移动边缘用户端的距离,按照各距离从近到远的顺序,依次从各移动边缘
主机130中选择目标移动边缘主机130,其中,各个目标移动边缘主机130的剩余计算资源的
总和不小于待计算任务所需的计算资源的(1+β)倍。网络功能虚拟化编排模块1202从目标
移动边缘主机130中选出安全等级不小于待计算任务所需移动边缘应用1301的安全等级的
待选择移动边缘应用1301;按照安全等级从高到低的顺序,从待选择移动边缘应用1301中
依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于待
计算任务所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。选择出
来的目标移动边缘应用响应于移动边缘编排器的调度,处理接收到的子任务,处理完成后,
结束流程。
动边缘主机130与移动边缘用户端的距离,按照各距离从近到远的顺序,依次从各移动边缘
主机130中选择目标移动边缘主机130,其中,各个目标移动边缘主机130的剩余计算资源的
总和不小于待计算任务所需的计算资源的(1+β)倍。网络功能虚拟化编排模块1202从目标
移动边缘主机130中选出安全等级不小于待计算任务所需移动边缘应用1301的安全等级的
待选择移动边缘应用1301;按照安全等级从高到低的顺序,从待选择移动边缘应用1301中
依次选择移动边缘应用1301,直至选取的各移动边缘应用1301的计算资源的总和不小于待
计算任务所需的计算资源,将选取的各移动边缘应用1301作为目标移动边缘应用。选择出
来的目标移动边缘应用响应于移动边缘编排器的调度,处理接收到的子任务,处理完成后,
结束流程。
[0148] 在一种可能的实施方式中,基于模式选择的移动边缘安全服务系统适用于中国移动定义的移动边缘计算在网络侧以及现场级两种部署。
[0149] 参见图4a,图4a为本申请实施例的基于模式选择的移动边缘安全服务系统的一种网络侧部署示意图,在网络侧部署中,运营商可将移动边缘编排器部署在城域网中的地市
级运营商机房,将移动边缘主机、移动边缘管理器集中部署在区县级以及更低位置的运营
商机房中以及接入网基站中,通过移动边缘编排器统一调度实现区域内的移动边缘主机的
编排,通过移动边缘管理器实现细粒度的移动边缘应用管理。
级运营商机房,将移动边缘主机、移动边缘管理器集中部署在区县级以及更低位置的运营
商机房中以及接入网基站中,通过移动边缘编排器统一调度实现区域内的移动边缘主机的
编排,通过移动边缘管理器实现细粒度的移动边缘应用管理。
[0150] 参见图4b,图4b为本申请实施例的基于模式选择的移动边缘安全服务系统的一种现场级部署示意图,在现场级部署中,运营商将移动边缘编排器部署有现场级移动边缘服
务需求的蜂窝基站或区县级的运营商机房中,根据移动边缘服务需求密度分布式地部署移
动边缘管理器,以此可应对不同区域差异化的服务需求密度,将需求较多区域内的移动边
缘主机面向第三方开放,区域内经过运营商认证后第三方提供的具有通信、计算、存储能力
的设备(例如手机、笔记本、平板电脑)可作为移动边缘主机运行,运营商记录服务信息,对
完成服务的第三方给予奖励,这样有效利用了区域内闲置的计算资源,缓解了服务需求密
集区域运营商的设备压力。可以有效解决DDoS攻击、隐私泄露等中国移动在建议移动边缘
部署时未考虑的安全威胁。
务需求的蜂窝基站或区县级的运营商机房中,根据移动边缘服务需求密度分布式地部署移
动边缘管理器,以此可应对不同区域差异化的服务需求密度,将需求较多区域内的移动边
缘主机面向第三方开放,区域内经过运营商认证后第三方提供的具有通信、计算、存储能力
的设备(例如手机、笔记本、平板电脑)可作为移动边缘主机运行,运营商记录服务信息,对
完成服务的第三方给予奖励,这样有效利用了区域内闲置的计算资源,缓解了服务需求密
集区域运营商的设备压力。可以有效解决DDoS攻击、隐私泄露等中国移动在建议移动边缘
部署时未考虑的安全威胁。
[0151] 本申请实施例提供了基于模式选择的移动边缘安全服务方法,应用于基于模式选择的移动边缘安全服务系统,上述基于模式选择的移动边缘安全服务系统包括:操作支持
平台,移动边缘编排器,移动边缘主机,上述移动边缘主机包括多个移动边缘应用,参见图
5,图5为本申请实施例的基于模式选择的移动边缘安全服务方法的一种示意图,上述方法
包括:
平台,移动边缘编排器,移动边缘主机,上述移动边缘主机包括多个移动边缘应用,参见图
5,图5为本申请实施例的基于模式选择的移动边缘安全服务方法的一种示意图,上述方法
包括:
[0152] 步骤510,上述操作支持平台获取移动边缘用户端的应用接入请求,上述应用接入请求包括待计算任务的服务模式、待计算任务所需移动边缘应用的安全等级以及待计算任
务所需的计算资源;对上述应用接入请求进行安全检测,并将上述待计算任务的服务模式、
上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源转发
至上述移动边缘编排器;
务所需的计算资源;对上述应用接入请求进行安全检测,并将上述待计算任务的服务模式、
上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源转发
至上述移动边缘编排器;
[0153] 步骤520,上述移动边缘编排器接收上述操作支持平台转发的上述待计算任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算
资源,根据上述待计算任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以
及上述待计算任务所需的计算资源,确定处理上述待计算任务的目标移动边缘应用;
资源,根据上述待计算任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以
及上述待计算任务所需的计算资源,确定处理上述待计算任务的目标移动边缘应用;
[0154] 步骤530,当上述应用接入请求通过安全检测时,上述操作支持平台获取上述移动边缘用户端发送的待计算任务信息,上述待计算任务信息包括多个子任务;并将上述待计
算任务信息转发至上述移动边缘编排器;
算任务信息转发至上述移动边缘编排器;
[0155] 步骤540,上述移动边缘编排器根据上述待计算任务信息和上述目标移动边缘应用对应的移动边缘主机正在处理的计算任务的数量,调度目标移动边缘应用来处理各上述
子任务,以使各上述移动边缘主机处理的计算任务均衡;
子任务,以使各上述移动边缘主机处理的计算任务均衡;
[0156] 步骤550,上述移动边缘应用响应于上述移动边缘编排器的调度,处理接收到的子任务。
[0157] 在一种可能的实施方式中,当上述待计算任务的服务模式为性能优先模式时,上述移动边缘编排器接收上述操作支持平台转发的上述待计算任务的服务模式、上述待计算
任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源,根据上述待计算
任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需
的计算资源,确定处理上述待计算任务的目标移动边缘应用,包括:
任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源,根据上述待计算
任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需
的计算资源,确定处理上述待计算任务的目标移动边缘应用,包括:
[0158] 步骤一,根据上述待计算任务所需的计算资源和各上述移动边缘主机的剩余计算资源,根据各上述移动边缘主机与上述移动边缘用户端的距离,按照各上述距离从近到远
的顺序,依次从各上述移动边缘主机中选择目标移动边缘主机,其中,各个上述目标移动边
缘主机的剩余计算资源的总和不小于上述待计算任务所需的计算资源的(1+β)倍,其中β为
预设值;
的顺序,依次从各上述移动边缘主机中选择目标移动边缘主机,其中,各个上述目标移动边
缘主机的剩余计算资源的总和不小于上述待计算任务所需的计算资源的(1+β)倍,其中β为
预设值;
[0159] 步骤二,从上述目标移动边缘主机中选出安全等级不小于上述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
[0160] 步骤三,按照安全等级从高到低的顺序,从上述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于上述待计算任务所需
的计算资源,将选取的各移动边缘应用作为目标移动边缘应用。
的计算资源,将选取的各移动边缘应用作为目标移动边缘应用。
[0161] 在一种可能的实施方式中,当上述待计算任务的服务模式为安全优先模式时,上述移动边缘编排器接收上述操作支持平台转发的上述待计算任务的服务模式、上述待计算
任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源,根据上述待计算
任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需
的计算资源,确定处理上述待计算任务的目标移动边缘应用,包括:
任务所需移动边缘应用的安全等级以及上述待计算任务所需的计算资源,根据上述待计算
任务的服务模式、上述待计算任务所需移动边缘应用的安全等级以及上述待计算任务所需
的计算资源,确定处理上述待计算任务的目标移动边缘应用,包括:
[0162] 从各上述移动边缘主机中选出安全等级不小于上述待计算任务所需移动边缘应用的安全等级的待选择移动边缘应用;
[0163] 按照安全等级从高到低的顺序,从上述待选择移动边缘应用中依次选择移动边缘应用,直至选取的各移动边缘应用的计算资源的总和不小于上述待计算任务所需的计算资
源,将选取的各移动边缘应用作为目标移动边缘应用。
源,将选取的各移动边缘应用作为目标移动边缘应用。
[0164] 在一种可能的实施方式中,上述应用接入请求包括用户标识,上述对上述应用接入请求进行安全检测,包括:
[0165] 根据上述用户标识,判断用户是否在预设黑产用户数据库中;
[0166] 当上述用户在预设黑产用户数据库中时,判定上述应用接入请求不通过安全检测;
[0167] 当上述用户不在预设黑产用户数据库中时,判定上述应用接入请求通过安全检测。
[0168] 在一种可能的实施方式中,在上述操作支持平台获取移动边缘用户端的应用接入请求的步骤之前,上述方法还包括:
[0169] 上述操作支持平台根据预设第一时间周期,从上述移动边缘用户端获取各用户的计算任务信息;对上述计算任务信息进行特征提取,得到计算任务特征;将上述计算任务特
征与预设第一行为特征进行匹配,识别出可疑计算任务,将可疑计算任务的所属的用户标
记为可疑用户;对上述可疑用户的计算任务进行监测,在预设第二时间周期内,若上述可疑
用户的计算任务包括预设攻击任务,将上述可疑用户确定为黑产用户;将上述黑产用户的
用户标识存储在上述预设黑产用户数据库中。
征与预设第一行为特征进行匹配,识别出可疑计算任务,将可疑计算任务的所属的用户标
记为可疑用户;对上述可疑用户的计算任务进行监测,在预设第二时间周期内,若上述可疑
用户的计算任务包括预设攻击任务,将上述可疑用户确定为黑产用户;将上述黑产用户的
用户标识存储在上述预设黑产用户数据库中。
[0170] 在一种可能的实施方式中,在将上述可疑用户确定为黑产用户的步骤之后,上述方法还包括:
[0171] 上述操作支持平台将上述黑产用户的用户标识发送至上述移动边缘编排器,以使上述移动边缘编排器根据上述黑产用户的用户标识,停止调度处理目标移动边缘应用以处
理上述黑产用户的待计算任务。
理上述黑产用户的待计算任务。
[0172] 在一种可能的实施方式中,在上述将可疑计算任务的所属的用户标记为可疑用户的步骤之后,上述方法还包括:
[0173] 上述操作支持平台在预设第二时间周期内,若上述可疑用户的待计算任务不包括攻击任务时,将上述可疑用户标记为正常用户。
[0174] 在一种可能的实施方式中,上述系统还包括:移动边缘管理器;在上述操作支持平台获取移动边缘用户端的应用接入请求的步骤之前,上述方法还包括:
[0175] 上述移动边缘编排器在预设第三时间周期内,从上述操作支持平台获取待计算任务信息;在各上述待计算任务信息的数据段中填充指定数量的校验数据,得到目标数据;将
目标数据分配至各上述移动边缘主机的各个移动边缘应用,以使各移动边缘应用对上述目
标数据进行处理,得到处理后的数据;
目标数据分配至各上述移动边缘主机的各个移动边缘应用,以使各移动边缘应用对上述目
标数据进行处理,得到处理后的数据;
[0176] 上述移动边缘管理器获取各个移动边缘应用返回的处理后的数据,并提取上述处理后的数据中的校验数据;判断各个上述处理后的数据中的校验数据是否相同,若超过半
数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的校验数据为真
实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实数据对应的移
动边缘应用的信息发送至上述移动边缘编排器,其中,若处理后的数据中的校验数据之间
数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据相同;
数的处理后的数据中的校验数据相同,则确定超过半数的处理后的数据中的校验数据为真
实数据,其他不同的处理后的数据中的校验数据为不真实数据;并将不真实数据对应的移
动边缘应用的信息发送至上述移动边缘编排器,其中,若处理后的数据中的校验数据之间
数据相异位数在预设位数阈值内,则确定处理后的数据中的校验数据相同;
[0177] 上述移动边缘编排器接收到上述移动边缘管理器发送的不真实数据对应的移动边缘应用的信息,并将不真实数据对应的移动边缘应用的信任值降低预设信任值;
[0178] 其中,上述移动边缘应用的安全等级是预设更新周期范围内,根据上述移动边缘应用成功服务次数,上述移动边缘应用接收的服务请求总次数,上述边缘应用的信任值计
算得到的;
算得到的;
[0179] 上述安全等级表示为:
[0180]
[0181] 其中,SL(tl,sr)表示移动边缘应用的安全等级,tl表示记录上述移动边缘应用信任值的信任列表,sr表示上述移动边缘应用的服务记录,α表示上述移动边缘应用的信任
值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内上述移动边缘应用的成功服务次
数,TotalQuestNum表示Tupdate内移动边缘应用接收的服务请求次数;
值,设定更新周期Tupdate,SuccessServelNum表示Tupdate内上述移动边缘应用的成功服务次
数,TotalQuestNum表示Tupdate内移动边缘应用接收的服务请求次数;
[0182] 上述信任列表和上述服务记录存储在上述移动边缘编排器中。
[0183] 在一种可能的实施方式中,上述移动边缘编排器存储有各移动边缘应用的计算任务次数,上述方法还包括:
[0184] 上述移动边缘管理器每隔预设第四时间周期,从上述移动边缘编排器获取各移动边缘应用的调度信息;将安全等级低于预设安全等级阈值的移动边缘应用删除。
[0185] 关于上述实施例中的方法,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
[0186] 在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。上述计算机程序
产品包括一个或多个计算机指令。在计算机上加载和执行上述计算机程序指令时,全部或
部分地产生按照本发明实施例上述的流程或功能。上述计算机可以是通用计算机、专用计
算机、计算机网络、或者其他可编程装置。上述计算机指令可以存储在计算机可读存储介质
中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,上述计算机
指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字
用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或
数据中心进行传输。上述计算机可读存储介质可以是计算机能够存取的任何可用介质或者
是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。上述可用介质可以
是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘
Solid State Disk(SSD))等。
产品包括一个或多个计算机指令。在计算机上加载和执行上述计算机程序指令时,全部或
部分地产生按照本发明实施例上述的流程或功能。上述计算机可以是通用计算机、专用计
算机、计算机网络、或者其他可编程装置。上述计算机指令可以存储在计算机可读存储介质
中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,上述计算机
指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字
用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或
数据中心进行传输。上述计算机可读存储介质可以是计算机能够存取的任何可用介质或者
是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。上述可用介质可以
是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘
Solid State Disk(SSD))等。
[0187] 需要说明的是,在本文中,各个可选方案中的技术特征只要不矛盾均可组合来形成方案,这些方案均在本申请公开的范围内。诸如第一和第二等之类的关系术语仅仅用来
将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操
作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体
意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括
那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或
者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不
排除在包括上述要素的过程、方法、物品或者设备中还存在另外的相同要素。
将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操
作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体
意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括
那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或
者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不
排除在包括上述要素的过程、方法、物品或者设备中还存在另外的相同要素。
[0188] 本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置、
电子设备及存储介质的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,
相关之处参见方法实施例的部分说明即可。
电子设备及存储介质的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,
相关之处参见方法实施例的部分说明即可。
[0189] 以上上述仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。凡在本申请的精神和原则之内所作的任何修改、等同替换、改进等,均包含在本申请的保护范围
内。
内。